De meeste verhalen over vals spelen in casino’s beginnen met verborgen apparaten, gemarkeerde kaarten of iemand die heel duidelijk iets deed wat absoluut niet mocht. Dit verhaal begon met een man die op knoppen drukte die de machine zelf hem toestond in te drukken.
In 2009 ontdekte John Kane dat bepaalde videopokermachines een opmerkelijke fout hadden. Als een speler een winnende hand kreeg en vervolgens het inzetbedrag veranderde voordat hij uitbetaalde, kon de machine de winst uitkeren alsof die hogere inzet er al die tijd had gestaan.[1] Met andere woorden, een speler kon laag inzetten, winnen, daarna de inzet verhogen en vervolgens innen alsof hij veel meer geld had geriskeerd dan hij werkelijk had ingezet. Het was geen geluksreeks. Het was een softwarefout vermomd als spel.
Kane en anderen gebruikten die bug om honderdduizenden dollars te winnen in casino’s in Nevada.[1] De voor de hand liggende reactie was dat dit wel crimineel moest zijn. Mensen horen casino’s niet te verslaan met boekhoudkundige trucs. Maar toen de zaak voor de federale rechter kwam, was de ongemakkelijke vraag niet of Kane een maas in het systeem had gevonden. Dat had hij duidelijk. De vraag was of het uitbuiten van die maas telde als illegale toegang tot een computersysteem, of dat hij de machine simpelweg gebruikte op een manier die de software zelf toeliet.[1]
De machine die vergat wanneer de inzet was geplaatst
Videopoker hoort meedogenloos ordelijk te verlopen. Je plaatst een inzet, krijgt een hand, beslist wat je vasthoudt, trekt vervangende kaarten en wordt uitbetaald op basis van het bedrag dat je hebt ingezet. Eerst komt de inzet. Daarna volgt de uitbetaling. Die volgorde is de hele architectuur van het spel.
De machines die Kane gebruikte, braken met die logica.[1] Hun software liet een speler een winnende hand vastzetten op een bepaald inzetniveau en vervolgens de inzet verhogen voordat hij de uitbetaalsequentie startte, waardoor een uitbetaling ontstond die was gekoppeld aan het hogere bedrag in plaats van aan het lagere bedrag dat oorspronkelijk was geriskeerd.[1] Het is het soort bug dat onmogelijk klinkt, totdat je je herinnert dat casino’s, ondanks al hun glamour, uiteindelijk ook gewoon ruimtes vol software zijn.
En software heeft een eigenaardige zwakte. Ze is vaak minder kwetsbaar voor brute kracht dan voor gehoorzaamheid. Als een machine een knop aanbiedt en vervolgens de gevolgen verkeerd afhandelt wanneer die knop in een bepaalde volgorde wordt ingedrukt, hoeft de gebruiker misschien nooit in te breken. Hij heeft alleen geduld nodig, herhaling en de bereidheid om op te merken wat iedereen anders mist.
Een glitch, geen hack
Dat onderscheid werd de kern van de hele zaak. Federale aanklagers klaagden Kane aan op grond van de Computer Fraud and Abuse Act, of CFAA, de brede en omstreden Amerikaanse antihackwet.[1] Hun theorie was dat hij, door de softwarebug uit te buiten, de geautoriseerde toegang tot een beschermde computer had overschreden.[1] De overheid probeerde hiermee casino-opportunisme te vertalen naar computercriminaliteit.
Maar er was een probleem. Kane had geen wachtwoorden omzeild. Hij had geen code aangepast. Hij had geen apparaten aangesloten, de machine niet geopend en geen verborgen beheerdersfuncties benaderd.[1] Hij had simpelweg de knoppen op het scherm gebruikt, in de volgorde die de machine toeliet, en vervolgens het geld geaccepteerd dat de machine hem aanbood. Dat maakte de zaak juridisch ongemakkelijk op een heel moderne manier.
Want als een computer je iets laat doen, op welk moment steek je dan precies de grens over van gebruiken naar hacken?
De wet botst op een druk op de knop
De federale rechtbank in United States v. Kane hoefde niet te bepalen of wat Kane had gedaan slim was. Dat was duidelijk. De vraag was of de overheid daadwerkelijk een misdrijf onder de CFAA had gesteld.[1] Meer specifiek moesten de aanklagers aantonen dat Kane de geautoriseerde toegang tot een beschermde computer had overschreden om fraude te plegen.[1]
De rechtbank concludeerde dat zij daarin niet voldoende waren geslaagd.[1] Kane had toegang tot de machine als speler. Hij gebruikte de interface zoals die hem werd aangeboden. Hij betrad geen verboden deel van het systeem. Hij verkreeg geen informatie die hij niet mocht krijgen. Hij dwong de machine niet om iets te doen van buiten haar normale bediening. Hij vond simpelweg een uit te buiten volgorde binnen de gewone gebruikerservaring.[1]
Dat klinkt als een smalle technische spitsvondigheid, totdat je beseft hoeveel van het moderne leven van dat onderscheid afhangt. Veel juridische gevechten over computermisbruik draaien om de vraag of “ongeautoriseerd” betekent dat je in een systeem inbreekt, of slechts dat je een beschikbaar systeem op een afgekeurde manier gebruikt. Kane’s zaak kwam aan de smalle kant terecht. Slecht gedrag, zelfs zeer winstgevend slecht gedrag, is niet automatisch hetzelfde als ongeautoriseerde toegang.[1]
Het casinoprobleem dat verstopt zat in het computerprobleem
Casino’s haten asymmetrie. Hun verdienmodel hangt af van regels die vastliggen, openbaar zijn en mathematisch in hun voordeel kantelen. Kane vond een asymmetrie die de andere kant op werkte. De machine had een huisvoordeel, totdat de software zelf de chronologie van de inzet vergat.
Dat is wat dit verhaal zo bevredigend maakt. Kane versloeg de kansberekening niet. Hij versloeg de implementatie. Hij ontdekte geen nieuwe gokstrategie. Hij ontdekte dat de interne boekhouding van de machine een gat had. Voor het casino kon dat voelen als vals spelen. Voor de rechtbank leek het meer op de eigen machine van het casino die een transactie verkeerd had geprijsd.
Er is een reden waarom dit soort zaken instellingen nerveus maakt. Ze laten zien dat de werkelijke macht in veel systemen niet in de geschreven regels zit, maar in de code die die regels operationeel maakt. Als de code de regels verkeerd toepast, kan het systeem met een stalen gezicht onzin gaan uitbetalen.
Waarom hij het geld mocht houden
De populaire versie van het verhaal is dat Kane “het geld mocht houden”, en dat is grofweg waarom de zaak is blijven hangen.[1] De diepere reden is niet dat de rechtbank vierde wat hij had gedaan. Het is dat de juridische theorie van de overheid niet goed genoeg bij de feiten paste. De verzoeken tot seponering werden toegewezen omdat de aanklager niet voldeed aan de eis van “het overschrijden van geautoriseerde toegang” onder de CFAA.[1]
Dat is ook buiten casino’s van belang. De zaak maakt deel uit van een veel groter gevecht over hoe ruim wetten over computercriminaliteit moeten worden gelezen.[1] Als het indrukken van de verkeerde volgorde van toegestane knoppen op een gebrekkige machine al federale hacking kan worden, dan begint een groot deel van gewoon opportunistisch gedrag af te glijden naar criminalisering bij wijze van metafoor. De uitspraak in Kane duwde terug tegen die neiging.
De uitspraak zei in feite dat een softwarefout niet hetzelfde is als een afgesloten deur. En dat het uitbuiten van een gebrekkig proces niet automatisch hetzelfde is als het betreden van verboden terrein.
De vreemde moraal van de machine laten beslissen
Er zit iets bijna filosofisch in dit hele verhaal. Casino’s vragen spelers de machine te vertrouwen wanneer die zegt dat ze verloren hebben. Kane vertrouwde de machine toen die zei dat hij had gewonnen. Het casino wilde dat dat vertrouwen maar in één richting werkte.
Daarin zit uiteindelijk de spanning die centraal staat in United States v. Kane. Een geautomatiseerd systeem bood een gebruiker een uitkomst aan die het systeem zelf mogelijk had gemaakt. De gebruiker begreep de fout beter dan de eigenaar. De eigenaar noemde dat fraude. De wet was, althans in deze zaak, niet bereid om het hacking te noemen.[1]
En zo belandde John Kane in een van die zeldzame historische niches die zijn gereserveerd voor mensen die de onzichtbare scheur in een digitaal systeem vinden en erdoorheen stappen zonder technisch ergens overheen te hoeven klimmen. Hij werd er niet van beschuldigd de machine open te breken. Hij werd ervan beschuldigd haar te goed te begrijpen.
